Streusand-Effekt
Samstag, 21. August 2010, 13:32 Uhr | Autor: ich
Beim täglichen Surfen durchs Netz schliddert man auch schnell mal an Infos vorbei, die eigentlich zum Verweilen und zum Nachdenken einladen. Zum Glück gibt es aber den Streusand-Effekt.
In früheren Zeiten wurde den Leuten Sand in die Augen gestreut, wobei nur geringe Mengen nötig waren, um die Sicht zu verhindern. Heutzutage wird mit der gleichen Methode versucht unerwünschte Informationen im Netz zu bedecken. Nur ist die Datenautobahn so breit und so lang, dass gar nicht so viel Sand heran gekarrt werden kann, um den gewünschten Effekt zu erzielen, wodurch aus dem verdeckenden Sand der bremsende Sand wird — der Streusand.
Den Streusand-Effekt kann man auch sehr effektiv einsetzen um Informationen in die breite Öffentlichkeit zu tragen, wenn man ein offizielles Mitglied der Geheimniskrämer ist. Die etwas einfältigen Mitglieder der Geheimniskrämer sehen nur das Verbot eine Information zu verteilen, und — Verbot == GUT!
Wenn Geheimniskrämer den Streusand-Effekt nutzen, dann weiß ich immer nicht ob sie
- einfach nur dumm wie 100 Meter Feldweg sind,
- einmalig eine andere Meinung vertreten oder
- Spione sind und die Gruppe der echten Geheimniskrämer infiltriert haben.
Ein aktuelles Beispiel für den Streusand-Effekt ist der angebliche Urheberrechtsverstoß eines Blogs, der zur Veröffentlichung von noch mehr Dokumenten zur Loveparde in Duisburg führte.
“Loveparade: Stadt Duisburg untersagt Blog Veröffentlichung von Dokumenten” (netzpolitik.org)
“Loveparade 2010 Duisburg planning documents, 2007-2010” (wikileaks.org)
Ein, ohne Kristallkugel, vorhersehbarer Streusand-Effekt zeichnet sich bei Googles Street View ab. Wer in Zukunft virtuell durch eine der 20 Städte schlendert, der wird ganz sicher stehenbleiben, wenn er ein Haus sieht welches bis zur Unkenntlichkeit verpixelt wurde.
- Was mag es dort geben, was niemand sehen soll?
- Dort muss es sich lohnen einzubrechen, ansonsten würde man es ja nicht verbergen wollen!?
- Wo gibt es unverpixelte Bilder dazu?
Von mir nur die “virtuelle Streifenfahrt” zu dem Thema, über die Udo Vetter kürzlich schrieb: “Verbrecherjagd mit Street View” (lawblog.de)
Ich kann nur hoffen, dass der Herr Polizist nicht mehr im aktiven Dienst tätig ist und nur in der Gewerkschaft ein paar Akten hin und her tragen darf.
Auch bei meinen Penntests (die Suche nach Stellen wo jemand gepennt hat) stoße ich auf den Streusand-Effekt.
Wenn ich nach einer Injektion korrupter Daten (dies sind Daten die man bestechen kann, unerwünschte Dinge zu tun) auf die Startseite weitergeleitet werde, dann geht meine Motivationskurve fast senkrecht nach unten, an dieser Stelle weiter nach Schwachstellen zu suchen. Bekomme ich hingegen eine schöne Fehlermeldung zurück,
XSS per GET-Request ergibt 999-Fehlermeldung…
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html>
<head>
<title>999 Possible Attack Detected!</title>
</head>
<body>
</body>
</html>
aber per POST-Request erfolgreich korrumpiert. Und nein!, POST-Request ist kein Sicherheitsfeature — immer noch nicht, auch wenn ein “Fachinformatiker” von “Sicherheitsgründen” schreibt, weshalb er POST benutzt hat. Bei solchen “Fach” (Welches bloß?) “Informatikern” werde ich nie arbeitslos. <g>
dann bin ich motiviert weitere Injektionen auszuprobieren, um den Filter auf Herz und Nieren zu prüfen.
Auch Fehlermeldungen die Auskunft über die verwendete Scriptsprache, Datenbank und/oder absolute Serverpfade ausspucken, werden von mir immer wieder gerne entgegengenommen. Während der Entwicklungs- und Testphase sind Fehlermeldungen sehr hilfreich und absolut notwendig, aber in produktiven Systemen sollten diese abgeschaltet werden. Fast jede Fehlermeldung birgt die Gefahr eines Streusand-Effektes, denn ein Angreifer bekommt Informationen, die ihn gerade erst richtig anstacheln weiter zu bohren.
Ein (angeblicher) Streusand-Effekt kann aber auch nur eine geschickte Methode von viralem Marketing sein, um ein stinklangweiliges Produkt interessant erscheinen zu lassen. Von der Unattraktivität des Produktes ist der Hersteller selber überzeugt, weshalb er diese Methode der Reklame gewählt hat.
Die Wikipedia kennt den Streisand-Effekt (de.wikipedia.org), welcher im Grunde das gleiche Phänomen beschreibt.
Samstag, 21. August 2010, 13:41 Uhr
Hallo,
Einmal mehr ein schoener Artikel. Dieser reisst ein Thema an, das ich zur Zeit fuer http://www.scip.ch/?labs am vorbereiten bin (erscheint in 2-3 Wochen): Sollen Applikationsbanner/Fehlermeldungen geloescht oder veraendert werden.
Der von Dir beschriebene Effekt kann ja theoretisch auf von Vorteil sein, um die Kraefte/Aufmerksamkeit eines Angreifers gewollt zu binden (WoW-Spieler wuerden dem “Aggro ziehen” sagen). Denn solange ein Angreifer mit einem Objekt beschaeftigt ist, das keine echten Schwachstellen aufweist, kann er auch keinen echten Schaden anrichten[1].
Bye, Marc
[1] Dennoch, damit erreicht man natuerlich hoechstens “Security by Obscurity” und keine echte Sicherheit.
Samstag, 21. August 2010, 14:29 Uhr
Über das “Angreifer in die falsche Richtung schicken” habe ich auch nachgedacht und bin zu dem (vorläufigen) Schluss gekommen, gar keine Informationen demotiviert einen Angreifer am meisten.
Man könnte natürlich auch einen Angreifer mit einer fiktiven Lücke beschäftigen. Da es aber kaum die Möglichkeit gibt ihn zweifelsfrei zu identifizieren, um ihm in der Folge dauerhaft das Handwerk zu legen, bringt diese Methode nicht sehr viel.
Dies alles ist natürlich auch abhängig von der Motivation des Angreifers.
Macht er es nur aus Spaß und/oder um sich vor seinen Freunden zu brüsten, so wird er relativ schnell aufgeben und sich ein anderes Ziel suchen, wenn er keine, für weitere Angriffe, geeigneten Informationen gewinnen kann.
Erledigt er allerdings eine Auftragsarbeit, so wird er sehr viel mehr Zeit investieren.
Auf jeden Fall ist die Aufzeichnung von Angriffen sehr hilfreich, um auch dem Auftragshacker schneller die Arbeit zu erschweren bzw. diese unmöglich zu machen.